Une brèche de sécurité importante a été découverte dans la dernière version de macOS : elle permet de devenir administrateur sans avoir besoin de taper un mot de passe. Apple est au courant et travaille sur un correctif. Une solution de protection temporaire existe.

Voilà un incident qui porte un vilain coup de canif à l’image de fiabilité et de sécurité que cherche à montrer Apple avec ses produits. Cette semaine, il vient en effet d’être porté à la connaissance du public que l’entreprise américaine n’a pas repéré une faille grossière dans macOS High Sierra (10.13), la quatorzième et actuelle version de son système d’exploitation destiné aux ordinateurs Mac.

Grossière, car la faille permet d’obtenir un accès administrateur sur un poste équipé de cet O.S. sans avoir besoin d’inscrire le moindre mot de passe. Pour la mettre en œuvre, il faut avoir à disposition une machine ayant une session ouverte et ensuite, dans les préférences du système, à la rubrique « Utilisateurs et Groupes », cliquer sur le bouton avec un symbole de cadenas.

De là, l’usager n’a qu’à taper « root » dans le champ dédié au nom d’utilisateur puis de laisser vide celui pour le mot de passe, mais en cliquant dedans ou en inscrivant un caractère avant de l’effacer. À ce moment-là, il n’y a plus qu’à cliquer à plusieurs reprises sur le bouton « Déverrouiller » pour obtenir les droits d’accès maximaux. Et ce n’est hélas pas la seule découverte qui a été faite.

En effet, la vulnérabilité marche dans d’autres cas de figure, par exemple à distance si le partage d’écran est activé ou si des configurations ou des logiciels particuliers (Remote Desktop, VNC Viewer) ont été mis en œuvre. Pour le dire autrement, il n’est pas absolument nécessaire d’avoir un accès physique à la machine pour pouvoir trafiquer la sécurité d’un Mac.

Cela étant certaines mesures permettent a priori de circonscrire la portée de cette faille. L’utilisation de FileVault (le chiffrement de tous les fichiers systèmes installé par défaut sur macOS) semble par exemple empêcher certaines des manipulations les plus extrêmes. Il semble aussi impossible de procéder au changement d’un mot de passe d’un compte utilisateur sur ce poste, même avec ce bug.

Selon nos constatations, il n’est pas possible de créer un compte admin / standard même avec le root déverrouillé. Par ailleurs, pour changer le mot de passe de session, il faut quand même renseigner ledit mot de passe. Une fenêtre surgit d’ailleurs quand on demande une telle modification. C’est ce que montre la capture présentée ci-dessus. Il faut toujours donner l’actuel avant tout changement.

C’est sur Twitter que la faille a été médiatisée, avec un message de Lemi Orhan Ergin : « cher SAV Apple, nous avons remarqué un énorme problème de sécurité sur macOS High Sierra. N’importe qui peut se connecter en tant que ‘root’ avec le champ du mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion. En êtes-vous conscient Apple ? »

« Vous pouvez y accéder via Préférences système > Utilisateurs et groupes > Cliquez sur le cadenas pour effectuer des modifications. Ensuite, utilisez ‘root’ sans mot de passe. Et essayez-le plusieurs fois. Le résultat est incroyable ! », a-t-il ajouté, sidéré, dans un second message. La réalité de cette brèche a ensuite été confirmée par de nombreuses personnes, parfois avec une vidéo à l’appui.

Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp

Il s’avère toutefois que l’existence de cette vulnérabilité a été repérée beaucoup plus tôt. Le 13 novembre 2017, un membre du forum officiel Apple partageait cette « astuce » avec les autres participants dans une discussion relative à la mise à niveau de l’ordinateur vers macOS High Sierra. Sauf qu’à l’époque, personne ne s’était vraiment soucié de la portée de cette manipulation.

Et il n’est pas le seul : il a été constaté que d’autres internautes ont eu connaissance de ce problème plusieurs jours voire quelques semaines avant que l’affaire ne prenne une telle ampleur grâce aux messages de Lemi Orhan Ergin. Évidemment, si des particuliers étaient au courant, toute la question qui se pose est de savoir qui d’autre connaissait ce souci avant l’heure et s’il a été utilisé à des fins malveillantes.

Pour bien cerner le problème, Edward Snowden a fait la comparaison suivante :

« Imaginez une porte fermée à clé, mais si vous continuez à appuyer sur la poignée, elle dit ‘bon, très bien’ et vous laisse entrer sans clé ». « C’est vraiment grave, mais ça sera résolu. Souvenez-vous de ce bug la prochaine fois que le FBI et le ministère de la justice demanderont un chiffrement ‘raisonnable’. C’est à ça que ressemble ce monde chaque jour », a-t-il ajouté.

Et Apple, dans tout ça ? L’entreprise a réagi, d’abord sur Twitter, en invitant certains utilisateurs à ouvrir une discussion en privé en précisant le modèle du Mac et la version de macOS. Par la suite, Apple a annoncé dans un communiqué travailler « sur une mise à jour du logiciel pour résoudre ce problème. En attendant, le paramétrage d’un mot de passe root empêche tout accès non autorisé à votre Mac ».

Apple a donné la méthode pour changer le mot de passe root en urgence.

Everyone with a Mac needs to set a root password NOW.

As a user with admin access, type the following command from the Terminal.

sudo passwd -u root

Enter your password then a new password for the root user.

Anyone got a better fix ?@SwiftOnSecurity @rotophonic @pwnallthethings

— colourmeamused (@colourmeamused_) November 28, 2017